Authentification de serveur à serveur et profils utilisateur dans SharePoint Server
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
L'authentification de serveur à serveur permet aux serveurs qui la prennent en charge d'accéder à des ressources situées sur l'un d'eux, et d'en demander, pour le compte des utilisateurs. Le serveur qui exécute SharePoint Server et répond à la demande de ressources entrante doit donc être en mesure de réaliser les deux tâches suivantes :
Résoudre la demande à un utilisateur SharePoint en particulier
Déterminez l'ensemble des revendications de rôles qui sont associées à l'utilisateur. Pour ce processus, on parle alors de « réactivation » de l'identité de l'utilisateur.
Pour réactiver l'identité d'utilisateur, un serveur prenant en charge l'authentification de serveur à serveur demande l'accès à des ressources SharePoint. SharePoint Server extrait la revendication du jeton de sécurité entrant et la résout à un utilisateur SharePoint spécifique. Par défaut, SharePoint Server utilise l'application de service de profil utilisateur intégrée pour résoudre l'identité.
Les principaux attributs utilisateur qui permettent de rechercher le profil utilisateur correspondant sont les suivants :
Identificateur de sécurité Windows (SID)
Nom d’utilisateur principal (UPN) pour les services de domaine Active Directory (AD DS)
Adresse du service SMTP (Simple Mail Transfer Protocol)
Adresse du service SIP (Session Initiation Protocol)
Par conséquent, au moins l’un de ces attributs d’utilisateur doit être à jour dans les profils utilisateur.
Notes
[!REMARQUE] Pour SharePoint Server 2013 uniquement, nous vous recommandons d'effectuer régulièrement une synchronisation entre les magasins d'identités et l'application de service Profil utilisateur. Pour plus d'informations, reportez-vous à l'article Planifier la synchronisation des profils pour SharePoint Server 2013.
De plus, pour SharePoint Server, une seule entrée correspondante doit figurer dans l'application de service de profil utilisateur pour une requête de recherche basée sur ces quatre attributs. Sinon, il retourne une condition d'erreur indiquant que plusieurs profils utilisateur ont été trouvés. Par conséquent, vous devez régulièrement supprimer les profils utilisateur obsolètes de l'application de service de profil utilisateur pour que les multiples profils utilisateur n'aient pas à partager ces quatre attributs.
Si un profil utilisateur et les appartenances de groupe appropriées de l'utilisateur ne sont pas synchronisés, SharePoint Server risque par erreur de refuser l'accès à une ressource donnée. Vous devez donc veiller à ce que les appartenances de groupe soient synchronisées avec l'application de service de profil utilisateur. Pour les revendications Windows, l'application de service de profil utilisateur importe les quatre attributs utilisateur clés précédemment décrits, ainsi que les appartenances de groupe.
Pour l’authentification basée sur les formulaires et l’authentification par revendications SAML (Security Assertion Markup Language), vous devez effectuer l’une des opérations suivantes :
Créez une connexion de synchronisation à une source de données prise en charge par l'application de service de profil utilisateur et associez-la à un fournisseur d'authentification basée sur les formulaires ou un fournisseur d'authentification par revendications SAML spécifique. En outre, vous devez mapper les attributs du magasin d'utilisateurs sur les quatre attributs utilisateur précédemment décrits ou sur le maximum d'entre eux que vous pouvez obtenir de la source de données.
Créez et déployez un composant personnalisé pour la synchronisation manuelle. C'est l'option la plus probable pour les utilisateurs qui ne travaillent pas avec Windows. Notez que le fournisseur d'authentification par revendications SAML ou d'authentification basée sur les formulaires est appelé quand l'identité de l'utilisateur est réactivée pour obtenir ses revendications de rôle.
Réactivation de l’utilisateur pour les serveurs demandeurs
Si le serveur à l'origine de la demande exécute Exchange Server 2016 ou Skype Entreprise Server 2015, qui utilisent les méthodes d'authentification Windows standard, le jeton de sécurité entrant contient le nom d'utilisateur principal de l'utilisateur et peut contenir d'autres attributs tels que les valeurs SMTP, SIP et l'identificateur de sécurité Windows qui identifient l'utilisateur. Le serveur SharePoint Server bénéficiaire se sert ensuite de ces informations pour localiser le profil utilisateur.
Pour un serveur demandeur qui exécute SharePoint Server, le serveur de destination réactive l’utilisateur à l’aide des méthodes d’authentification basées sur les revendications suivantes :
Dans le cas de l’authentification basée sur les revendications Windows, SharePoint Server utilise des attributs AD_DS pour rechercher le profil utilisateur de l’utilisateur concerné (par exemple, les valeurs UPN ou SID) et leurs revendications de rôle (appartenance à un groupe).
Pour l'authentification basée sur les formulaires, SharePoint Server utilise l'attribut Account pour localiser le profil de l'utilisateur, puis appelle le fournisseur de rôles et tous les autres fournisseurs de revendications personnalisées pour se procurer l'ensemble de revendications de rôle correspondant. Par exemple, SharePoint Server se sert des attributs dans les services de domaine Active Directory (AD DS), dans une base de données de type SQL Server ou un magasin de données LDAP (Lightweight Directory Access Protocol), pour rechercher le profil utilisateur qui représente l'utilisateur (par exemple, les valeurs UPN ou SID). Le composant que vous utilisez pour synchroniser votre fournisseur d'authentification basée sur les formulaires doit au moins renseigner des profils utilisateur avec le nom de compte de l'utilisateur. Vous pouvez également créer un fournisseur de revendications personnalisées pour importer des revendications supplémentaires en guise d'attributs dans les profils utilisateur.
Pour l'authentification par revendications SAML, SharePoint Server utilise l'attribut AccountName pour localiser le profil de l'utilisateur, puis appelle le fournisseur SAML et tous les autres fournisseurs de revendications personnalisées pour se procurer l'ensemble de revendications de rôle correspondant. La revendication d'identité d'utilisateur doit être mappée sur l'attribut Account dans les profils utilisateur par le biais du fournisseur de revendications SAML correspondant que vous devez configurer pour renseigner vos profils utilisateur. De la même manière, des revendications UPN et SMTP doivent être respectivement mappées sur les attributs UPN et SMTP. Pour dupliquer l'ensemble de revendications que l'utilisateur doit en principe obtenir de son fournisseur d'identité, vous devez ajouter ces revendications (y compris les revendications de rôle) en augmentant les revendications. Un fournisseur de revendications personnalisées doit importer ces revendications en tant qu'attributs dans les profils utilisateur.
Voir aussi
Concepts
Planifier l'authentification de serveur à serveur dans SharePoint Server